Alerta AdFiver Robo de Datos Personales Con Su extension Scam

Comparte--Share on FacebookShare on Google+Tweet about this on Twitter

Alerta AdFiver Robo de Datos Personales Con Su extension Scam

Hola queridos amigos , hoy les vengo a dar una información donde se a descubierto Que adfiver La PTC Esta robando datos personales de todos los sitios webs que navegues , si Facil , con su extensión de Google Chrome , tienen el nivel de acceder a tus datos e incluso ejecutar JavaScripts ,

Ve corriendo y cambia tus claves Primeramente de todo lo que uses porque puede ya este en manos de estos tramposos .

 

Nuestro gran administrador de NEOBUX nos muestra como Roban nuestros datos Sin mas que decir aqui te dejamos toda la explicacion con Imágenes detallada


Si está utilizando una extensión de un sitio llamado “AdFiver” retire inmediatamente y cambiar su contraseña (s) EMPRESA. Esa extensión es básicamente robando su información de inicio de sesión NeoBux (y probablemente otros sitios también). Esa fue la versión corta de modo aquí está el documentado una: En primer lugar vamos a echar un vistazo a la (el archivo de configuración básica de prórroga) manifiesta: En el archivo de manifiesto se puede ver que se han solicitado permisos a todos los sitios web, incluso las más seguras, cuando en realidad son no usar ellos dentro de la extensión de su propio sitio web. Además, se están cargando Javascript (ejecutar su propio código) en cada sitio web único, no sólo en AdFiver pero en todos los sitios web que visite. Echemos un vistazo más de cerca a la secuencia de comandos que están inyectando:

 

 

Uhm … eso es raro. Es el único guión totalmente ofuscado que tienen en su extensión. Siendo así que es difícil de leer, aunque ya podemos ver algunos códigos maliciosos con el eval y todos aquellos “atob”. Vamos a ver cómo termina después de limpiar un poco:

 

Vamos a centrarnos en el primer bloque del código, que envía un mensaje vacío a la extensión y ejecuta (evalúa) la respuesta.¿Qué código va a ser ejecutando? Vamos a averiguar…

 

Aquí podemos ver dos bloques de código. El primero se utiliza para recuperar el código que se ejecutará en el paso explicado anteriormente. Ese código se recupera directamente de AdFiver cada 24 horas. En este momento, el código recuperado es lo que se puede ver en la imagen siguió. Mientras, el segundo bloque de código envía información a AdFiver junto con la dirección URL de la página web que estamos visitando … Eso es raro … Nosotros venimos a este ¡mas tarde!

 

Este es el código que AdFiver está ejecutando en todos los sitios web que visitamos y que puede modificar cuando lo deseen:

 

Vamos a hacer legible mediante la ejecución de la célula (célula (línea celular de código que hemos encontrado en la imagen 3: atob(atob(atob(atob(atob(‘responseCodeGoesHere’).substr(1)).substr(1)).substr(1)).substr(1)).substr(1)

 

 

Una vez más … más código ofuscado por lo que vamos a hacer más limpio:

Eso es mejor. Aquí se puede ver que hay un bloque de código que se ejecuta si la página web que estamos visitando coincide con el siguiente formato:window.location.href.match (nueva RegExp (atob (atob (“WG1oMGRIQnpQenBjTDF3dktGdGVYQzlkS2k1OEtXNWxiMkoxZUZ3dVkyOXRYQzl0WEM5cw”)))) ¿Qué lo que es legible termina siendo: Esa es la página de inicio de sesión NeoBux! Así que el guión es básicamente enviando NeoBux información de acceso cuando intentamos acceder a la extensión del AdFiver que lo envía de vuelta a sus servidores de 60 segundos despues de hacer login. Sí, ellos están tratando de robar sus datos de acceso y éxito a todos los que instaló la extensión (dándole permisos completos para hacer lo que quiera). Lo peor es que lo están haciendo esto para todo el Web site de modo que en realidad puede robar sus datos de acceso en igual número de sitios web que quieren cambiando el código que se están volviendo a ser ejecutado. Ya hemos bloqueadoen nuestro final y si lo cambian vamos a bloquear de nuevo. Gracias a Dios que tienen un poco menos de 3k usuarios que lo utilizan, pero , si usted es uno, hacer cambiar su contraseña (s) en este momento y dejar de usar que el malware. Recuerde que cuando alguien le paga (que no, pero dicen que lo harían) para el uso de una cosa tal como una extensión que es la primera señal de que algo anda . no es correcto Si necesita más información sobre los estafadores detrás de esto usted lo puede encontraren este tema. _____________________________________________________________ Actualización: Un moderador del foro, incluso ha publicado esto en su foro:

 

 

Lo que obviamente fue censurado y el moderador fue invitado a “tomar una lectura”:

 

Así que ahora es más probable decir mentiras a los mods para ayudarles a mantener el barco que se hunde unos días más Gustavo. Como no tienen más dinero a la izquierda y han estado pagando pequeñas cantidades por día no debe tomar mucho tiempo de modo de copia de seguridad del moderador en mantener el fraude flote es crucial en este momento. Después de estar redhanded atrapados y sin ninguna otra alternativa que el código ha sido en silencio cambiado a esto:

 

 

Si bien actualmente no nos afecta que sabe ahora qué esperar realmente de ellos: el uso de que es una puerta trasera para conseguir las contraseñas robadas de los que utilizan esa extensión falso. Además, sólo alguien con mentalidad de un niño iba a cambiar el nombre de la clase de “gpt “a” jajajaja “al ser capturado. Demuestra un punto sin embargo.

 

 

Sin mas que decir me despido cambien sus claves si tenian la extencion y comparte esto para que tus Amigos que trabajen con las ptc sepan este peligro ! Exitos

Deja un comentario o pregunta